A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25.
György Ács Security Consultant C|EH, SFCP, SFCE
[email protected]
Global Security Sales Organization
©2014 Cisco and/or its affiliates. All rights reserved.
Tartalom
Modern támadások Malware analízis technikák Mi a sandbox ? ThreatGrid sandbox Advanced Malware Protection A DNS csatorna Ajánlások
Cisco Public
2
Cisco Éves Biztonsági Jelentés 2015:
Mi az a malware ? Malware = Malicous software Bármilyen kód, ami kárt okoz(hat) Ismeretlen kód, ami érdekes lehet Típusok rootkitek, backdoor-ok botnet-ek, scareware-ek férgek, vírusok,
+RJ\DQYpGHNH]]QNHOOHQNKDQHPpUWMNDPĦN|GpVNHW" Van erre eszközünk?
$PLNUĘO mindenki hallott már « ... a támadó okosak és motiváltak ... a modern malware = egy iparág zero day sérülékenység ára: $$$$$ -> $40,000 - $160,000 browser exploit pack ára : $$$$ -> BlackHole bérlése : $500-700/hónap, -> $450k botnet ára : $$ botonként -> 10.000 zombi: $1000 (US) bankkártya ára : $ kártyánként -> 9$ -35$ ...... ... célzott támadások, Advanced Persistent Threats, Cyber Security... ... Spear Phishing, Water Holing, trójaiak, Buffer Overflow ....
6
Zsaroló programokról ...
Zsarolóvírusok (ransomware-ek) olyan kártékony programok, amelyek egy számítógépre jutva elérhetetlenné tesznek bizonyos fájlokat vagy akár az egész rendszert
$]HOVĘ-EĘO
2 csoport: Lockerek Cryptoware-ek
Cryptowall
Zsaroló programokról ...
Gyakran IHMOĘGQHN és mutálódnak
Leggyakrabban emailcsatolmányban, IHUWĘ]|WW weboldalakon terjednek
akár megbízható weboldalakról is (ha az azokat reklámokkal ellátó hirdetéskiszolgáló IHUWĘ]ĘGLN meg)
Itthon a Locky (valamilyen számlának WĦQĘ Word + macro) és a CryptoWall 4 QHYĦ zsarolóvírus fordul HOĘ leggyakrabban
Egy érdekes cikk ...
Cisco Talos és a zsaroló programok
Angler infrastruktúra
~40% of users being served exploits are compromised by Angler. ~62% of Angler infections delivered Ransomware and the average ransom is $300.
http://www.malwaredomainlist.com/mdl.php
The Kill Chain Recon Attack Delivery Exploitation C&C Lateral Movement Persistence Steal Data
https://media.blackhat.com/bh-us-12/Briefings/Flynn/bh-us-12-Flynn-intrusion-along-the-kill-chain-WP.pdf
Az áldozat megtámadása Valamilyen csatornán, email, social media, telefon elérjük hogy az áldozat megnyissa a csatolmányt vagy klikkeljen egy linkre ... Futtatható malware indítása .exe, .msi, .vbs, .ps1, .dmg , .... ... Sérülékeny alkalmazás/plugin kihasználása
Internet
FW
Enterprise
Támadás HOĘWW: Az antivírus rendszeren átmenne? Online AV scanner: http://virustotal.com : megosztja a mintákat
más AV vendorral Célzott támadások saját dedikált AV teszt rendszert használnak
Teszteljünk támadás HOĘWW Türelmes vagyok. Nekem csak egyszer kell támadnom.
1
Más rendszerek nem osztják meg a mintákat
av-check, virtest, scan4you
Mit csinál egy malware ? MHJQp]LDÄN|UQ\H]HWHW´
(antivírus, anti-spyware, ...) 0HJSUyEiOMDPHJĘUL]QLPDJiW (registry) Kártékony kódot tölt le File-t hoz létre Hook (saját kódot regisztrál) -> keylogger Malware vagy CnC (Command and Control) állomással kommunikál
Mi az a malware analízis? A malware szétboncolása, viselkedés
elemzése, részek elemzése
Ami Nem: forensics elemzés Incident Response (IR)
Macska- egér harc Ha jól csináljuk, vezeti az incident
response munkálatokat
A malware analízis segítségével jóval magasabb EL]WRQViJLV]LQWpUKHWĘHO HRVWDODS~ÄQ\RPRN´pVhálózati szignatúrák
0DOZDUHDQDOt]LVOHKHWĘVpJHL 1. Utána forensics analízis a gépeden ... ? Hoppá, a vállalati adatbázis kikerült ! 2. Más gépén, HOĘWWH ?
Nagyon célzott támadás ? Az egész gép tükrözése ? Agent szükséges?
Malware analízis OHKHWĘVpJHL 1. Statikus Disassembler, pl. : IDA, OllyDbg Reverse engineering Komponensek vizsgálata OpSpVUĘO lépésre Gépi kód-> assemply konverzió Memory dumper: LordPE, OllyDump
Malware analízis OHKHWĘVpJHL 2. Dinamikus analízis Viselkedés naplózása Virtuális gép Sandboxing Debugger (GDB, WindDGB)
Kód analízis manuálisan = sok munka nem automatizált eszközök Detect Autoruns: Autoruns
File system és registry
monitoring:
Process Monitor és Capture BAT
Process monitoring: Process Explorer és Process Hacker
Network monitoring: Wireshark és SmartSniff
Change detection: Regshot
Sandbox
Report : network activity persistence (registry writes, service creation) spreading anti-debugging reading password files keylogging
Virtuális gépben a kód
futása Appliance (IHOKĘEHQ vagy
lokális ) Kimenet : a viselkedés
leírása³bizonyítékok´ ,GĘEH telik az analízis
Report ArtifactsFile, video
Többnyire automata
Nincs tökéletes megoldás Sandboxing
Application Control NAC IDS / IPS UTM
FW/VPN
AV
³1RNH\QRDFFHVV´ ³,WPDWFKHVWKHSDWWHUQ´
³%ORFNRU$OORZ´
³)L[WKH)LUHZDOO´
³&DSWLYH3RUWDO´ ³1RIDOVHSRVLWLYHV QRIDOVHQHJDWLYHV´
PKI
³'HWHFWWKH 8QNQRZQ´
Malware sandbox detektálás Miért érdekes ez? Ha a malware detektálja a sandbox környezetet,
nem csinál ³rosszat´ Nem PĦN|GLN a dinamikus analízis a
továbbiakban Csak a statikus analízis marad
Jó sandbox: úgy csinál, mint egy ³buta´
felhasználó«
3
Malware sandbox detektálás (piros-kék pirula) VM karekterisztikák HOOHQĘU]pVH registry keys, MAC address, processes, services Kód végrehajtás NO|QE|]Ę LGĘ]tWpVVHO /eredménnyel
Várj 10 reboot-ot«egér kattintást
... Malware csak alszik X órát sandbox nem tudja végtelen ideig vizsgálni Ellenintézkedés : órafelgyorsítás a sandboxban Ellen-ellenintézkedés : ...
3
Sandbox detekció ³7XULQJWHVW´vagy felhasználó input - tevékenység Mozog az egér? A bLOOHQW\Ħ]HWHW használják? Megkérjük a felhasználót, hogy klikkeljen « CAPTCHA
3
Kérlek, kattints ide -> o
Sandboxing
Antivírus a Malware ellen, csak fordítva« Sandboxing egy jó tool, de nem nyújt védelmet minden egyes támadással szemben, nem átverhetetlen Fejlett támadások ellen W|EEUpWHJĦ védelmi rendszer kell 3
Cisco AMP Threat Grid ± miben más? Teljesítmény
Szolgáltatások
Kontext
Integráció
Gyors, automatizált analízis, állítható IXWiVLGĘ Láthatatlan a minta számára, sok viselkedés elemzés Videó lejetszás, Glovebox : malware interakció Process Graph for visual representation of process lineage Threat Score & Behavioral Indicators Keresés és korreláció minden adatrészletre (artifacts) a több milliárd mintabázison (globális kontext) Az HOHP]Ę részletes leírást kap, jobban megérti a malware PĦN|GpVpW API az HOVĘ naptól, integráció a jelenlegi IT biztonsági megoldásokkal ( minta feladás, riport ), Cisco AMP Custom threat intelligence feed-ek támogatása
ThreatGrid platformok )HOKĘ: adatközpont US (EU jön)
Több millió analízis per nap 6 - 8 millió analízis hónaponta (és egyre QĘ « ThreatGRID software és dedikált hardware Más IHOKĘ szolgáltatóra nincs szükség Több állomásos architektúra On-premise Appliance: - helyi elemzés max 5,000 minta naponta (ThreatGRID 5500 Series) Kiemelt biztonságú szervezetek számára Azonos funkciókészlet / GUI, mint a ThreatGRID SaaS Az appliance frissítést kap => a teljes kontext látja az HOHP]Ę
Saját HOHP]Ę rendszer - Proprietary Analysis .OVĘ elemzés Nincs jelen a VM-ben, mint más sandbox-ok, pl.: Cuckoo Dinamikus analízis :
± External kernel monitor, zero-instrumentation ± Dynamic disk DQDO\VLVVKRZLQJPRGL¿FDWLRQVWRWKHSK\VLFDO disk such as changes to the Master Boot Record ± Full user interaction and emulation through 7KUHDW*5,'¶V Glovebox ± Full video capture, playback of all screen activity ± Detailed analysis of malware sample activities including network traƥ ƥc Statikus analízis :
± 3')57)&')-DYD6FULSW+70/DQG3(¿OHV
Threat Score 440+ viselkedés MHO]Ę : Behavioral indicators (and growing) Malware családok, káros viselkedések Részletes leírás, bizonyítékokkal Megbízhatóság alapú prioritás -> segít a SOC elemzésben és IR tudásban
If you knew you were going to be compromised, would you
GRVHFXULW\GLIIHUHQWO\"´ Marty Roesch Chief Architect ± Cisco Security Group
AMP: Advanced Malware Protection Detection Services & Big Data analytics
Network-based AMP
ݴ
AMP for hosts desktop and mobile devices
ݲ
FireSIGHT Management Center
Private Cloud / SaaS Manager
#
#
Sourcefire Sensor
Host-based AMP AMP Malware license
Nincs szükség agent-re
Kis PpUHWĦ agent File hozzáféréseket figyeli (move/copy/execute) -HOOHP]ĘNHW J\ĦMW (fingerprint & attributes) Lekérdezi a file státuszát (tiszta, malware, ismeretlen)
Cisco biztonsági model Attack Continuum
BEFORE
DURING
Control Enforce Harden
AFTER
Detect Block Defend
Scope Contain Remediate
Firewall
VPN
NGIPS
Advanced Malware Protection
NGFW
UTM
Web Security
Network Behavior Analysis
Email Security
Retrospective Services
NAC + Identity Services
Visibility and Context
AMP : Point-in-Time + Retrospective Protection Point-in-Time Protection
Retrospective Security Breadth and Control points:
WWW
Email
Network
Endpoints
IPS
Web
Devices Telemetry Stream
One-to-One Fuzzy Signature Finger-printing
Machine Learning
Advanced Analytics
Dynamic Analysis
File Fingerprint and Metadata
Continuous feed
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0110011 101000 0110 00 0111000 111010011 101 1100001 110 0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0001110 I/O 1001 1101 1110011 File and Network
Process Information
File Reputation & Sandboxing
Continuous Analysis
Protection Framework: Ethos Engine ETHOS = Fuzzy Fingerprinting
statikus és passzív heurisztikát használva A malware-ek polimorf variánsaira Gyakran ugyanazok a struktúrális MHOOHP]ĘN Az eredeti és variánsok elfogása -> pontosabb döntés Döntési fát épít
4
Protection Framework: Spero Engine SPERO = Machine Learning using active heuristics
Hypothesis
Clean/ Dirty sampl es
Data Feature Vectors
Machine Learning Algorithm
Featureprint (file)
Predictive Model Decision Trees
Data
Labels
Performance Monitoring
Customer Data
Expected Label [Disposition]
Clean Unknown Malware
Protection Framework: IOCs IOC = Indicators of Compromise Speciális MHOOHP]Ę, nyom (artifacts) ami a támadás után ottmaradt
Wikipedia:
XML alapú leíró nyelv, hogyan tudjuk azonosítani a malware-t
³LQcomputer forensics is an artifact observed on a network or in operating system that with high confidence indicates a computer intrusion.´
Host vagy/és hálózat alapú nyom, host alapon kezdeményezett letapodatás OpenIOC 1.1 eredet
4
http://en.wikipedia.org/wiki/Indicator_of_compromise
Plan A: The Protection Framework 1-to-1 Signatures
Device Flow Correlation
Spero
Ethos
Dynamic Analysis
Advanced Analytics
IOCs
All Methods < 100% Detection
Plan B: Retrospection Typical Analysis file
x
Analysis Stops After Initial Disposition
time
$FWXDOO\« Disposition = BAD «WRRODWH
1-to-1, Fuzzy, Machine Learning, Sandboxing, etc; Disposition = CLEAN
Sleep techniques Unknown protocols Encryption Performance
Continuous Analysis
file
x
Analysis Continues
Initial Disposition = CLEAN
time
:KHQ\RXFDQ¶W detect 100%, visibility is critical
Retrospective Alert sent later when Disposition = BAD
Retrospection Framework: Trajectory Downloads an unknown .zip
Two files are access when the .zip is opened, it creates a DLL, and a PDF.
3 files are downloaded. A/V triggers on two files, but #3 moves itself on disk and begins to connect to random IP addresses.
Our last unknown file opens a window VD\LQJ³'RZQORDG &RPSOHWHG´
Acrobat launches svchost.exe???
Firefox user connects to http://www.downloaders.com
5
PDF Reader application is opened to read the PDF.
svchost.exe connects to http://192.168.1.12 File #3, connects to 4 IP addresses, and creates another unknown file.
The last unknown file launches calc.exe, hollows the process and begins listening for remote connections.
Nyomkövetés alkalmazás és hálózati szinten: trajectory
Nyomkövetés alkalmazás és hálózati szinten: trajectory
Why OpenDNS? '166HUYLFHV%XLOWIRU:RUOG·V/DUJHVW6HFXULW\3ODWIRUP GLOBAL NETWORK 80B+ DNS requests/day 65M+ biz & home users 100% uptime Any port, protocol, app
UNIQUE ANALYTICS
+
security research team automated classification BGP peer relationships 3D visualization engine
= 80M+ malicious requests blocked/day
A New Layer of Breach Protection Threat Prevention Not just threat detection
Protects On & Off Network Not limited to devices forwarding traffic through on-prem appliances
Always Up to Date No need for device to VPN back to an on-prem server for updates
Block by Domains, IPs & URLs for All Ports Not just ports 80/443 or only IPs
UMBRELLA Enforcement
Turn-Key & Custom API-Based Integrations Does not require professional services to setup
Mit tudunk mi tenni ? .|]|VVpJLHJ\WWPĦN|GpV Snort : ingyenes, IDS/IPS rendszer
ClamAV: ingyenes vírusírtó
IPPXQHWLQJ\HQHVÄDGYDQFHGPDOZDUHSURWHFWLRQ´UHQGV]HU
OpenAppID : alkalmazás definiciók és azok megosztása
OpenDNS : ingyenes, szabad DNS szolgáltatás
Összefoglalás Modern malware tökéletesen át tud menni a ma alkalmazott ³SRLQW-
in-WLPH´detekciós eljárásokon Detekció fontos, de szükség van másra is.
A sandboxing egy hatásos detekciós módszer, de nem mindenható Retrospektív elemzés megmutatja, mit nem kaptunk el AMP Everywhere ± mindenhol : teljes rálátást és kontrolt ad